Архив метки: PatchTuesday

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее
Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее

Хах, ситуация вокруг отчета Qualys на November Microsoft Patch Tuesday стала даже смешнее. Авторка этого отчета DEBRA M. FEZZA REED 🧡🌻 (She/Her) обиделась на меня, потому что я указал на ее ошибки публично, а не в личном сообщении в одной американской соцсеточке для профессионального общения. ¯\_(ツ)_/¯

> почему вы сочли необходимым пойти сразу на публичное осмеяние, а не обратиться ко мне напрямую, в профессиональной манере, чтобы исправить эту ошибку?

Честно говоря, у меня не было мотивации делать это после того, как Qualys ушла с российского рынка и оборвала все связи. Я даже не посмотрел, кто автор этого поста. И чего так серьезно-то? Это была просто невинная шутка с моей стороны, потому что описание получилось забавное.

> Я очень много работала, чтобы создать профессиональную репутацию, основанную на добросовестности, прозрачности, ответственности и подотчетности. Восприятие — это все, и действия имеют последствия. Вопреки вашему намерению, я не интерпретирую ваш пост как "невинную шутку".

Хорошо, продолжайте обвинять меня в своей ошибке. Видимо я помешал вам перечитать пост перед его публикацией. Видимо это моя вина, что с 8 ноября 2022 года больше никто не читал этот пост (ни в Qualys, ни во вне) и не указал вам на эти ошибки. Во всем виноват рандомный парень из России, который не написал вам в личку. Как непрофессионально с моей стороны. 🙂

PS: на QSC меня теперь вряд ли когда-нибудь пригласят. 😅

Выпустил-таки видео по ноябрьскому Patch Tuesday

Выпустил-таки видео по ноябрьскому Patch Tuesday. С одной стороны, вроде и 0day-ев много вышло. А с другой стороны, чего-то супер-критичного не просматривается. Нет, ну атаки на браузер? Серьезно? Или метки для скаченных файлов (не так давно была похожая тема про macOS)? Патчиться конечно надо, но, к счастью, хвататься за голову в этот раз повода пока нет. 🙂

Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает"

Вспомнилась старая студенческая шутка а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает

Вспомнилась старая студенческая шутка "а сердечник для катушки выбираем деревянный, потому что все равно никто текст дипломного проекта не читает". Уязвимость Print Spooler оказывается каким-то боком касается JScript9 scripting language. 😜

Qulays по ошибке подставили для "CVE-2022-41073 | Windows Print Spooler Elevation of Privilege (EoP) Vulnerability" описание из "CVE-2022-41128 | Windows Scripting Languages Remote Code Execution (RCE) Vulnerability". Причем это же описание вставили ещё и в "CVE-2022-41091 | Windows Mark of the Web Security Feature Bypass Vulnerability". Но кто ж это читает-то. 😏

Выпустил отчет по октябрьскому Microsoft Patch Tuesday

Выпустил отчет по октябрьскому Microsoft Patch Tuesday. В календарные сроки уложился. 😅

На самом деле не особо интересный месяц. По #ProxyNotShell Remote Code Execution – Microsoft Exchange (CVE-2022-41040, CVE-2022-41082) все ещё ждем патчей. Общевиндовая Elevation of Privilege - Windows COM+ Event System Service (CVE-2022-41033) вроде активно эксплуатируется, но пока не ясно кем и как именно. Остальное всё такое себе, средненькое. Подробнее в блогпосте.

Записал традиционный расширенный вариант отчета по сентябрьскому Microsoft Patch Tuesday

Записал традиционный расширенный вариант отчета по сентябрьскому Microsoft Patch Tuesday. Кратко и на русском было здесь.

—-

Hello everyone! Let’s take a look at Microsoft’s September Patch Tuesday. This time it is quite compact. There were 63 CVEs released on Patch Tuesday day. If we add the vulnerabilities released between August and September Patch Tuesdays (as usual, they were in Microsoft Edge), the final number is 90. Much less than usual.

00:30 Proof-of-Concept Exploits (CVE-2022-33679, CVE-2022-38007, CVE-2022-34729)
02:29 Exploitation in the wild: CLFS Driver EoP (CVE-2022-37969), Microsoft Edge Security Feature Bypass (CVE-2022-2856, CVE-2022-3075)
03:54 IP packet causes RCE: Windows TCP/IP RCE (CVE-2022-34718), IKE RCE (CVE-2022-34721, CVE-2022-34722)
05:39 Windows DNS Server DoS (CVE-2022-34724)
06:30 Spectre-BHB (CVE-2022-23960)

Video: https://youtu.be/KB6LN5h9VwM
Video2 (for Russia): https://vk.com/video-149273431_456239101
Blogpost: https://avleonov.com/2022/09/24/microsoft-patch-tuesday-september-2022-clfs-driver-eop-ip-packet-causes-rce-windows-dns-server-dos-spectre-bhb/
Full report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html

@avleonovcom #microsoft #patchtuesday

Давайте посмотрим на сентябрьский Microsoft Patch Tuesday

Давайте посмотрим на сентябрьский Microsoft Patch TuesdayДавайте посмотрим на сентябрьский Microsoft Patch TuesdayДавайте посмотрим на сентябрьский Microsoft Patch TuesdayДавайте посмотрим на сентябрьский Microsoft Patch Tuesday

Давайте посмотрим на сентябрьский Microsoft Patch Tuesday. В этот раз компактненько. Всего 63 уязвимости. С учетом уязвимостей вышедших между августовским и сентябрьским Patch Tuesday (как обычно, в Microsoft Edge), получается 90. Весьма и весьма немного.

1. Уязвимостей с публичными эксплоитами пока нет. Есть 3 уязвимости для которых существует Proof-of-Concept Exploit по данным из CVSS

Elevation of Privilege - Kerberos (CVE-2022-33679)
Elevation of Privilege - Azure Guest Configuration and Azure Arc-enabled servers (CVE-2022-38007)
Elevation of Privilege - Windows GDI (CVE-2022-34729)

Но вероятность, что это докрутят до боевого состояния невысока.

2. Есть 3 уязвимости с признаком эксплуатации вживую

Elevation of Privilege - Windows Common Log File System Driver (CVE-2022-37969). Можно поднять права до SYSTEM. Затрагивает массу версий Windows, есть патчи даже под EOL операционки. Кроме этой уязвимости был пучок виндовых EoP-шек без признаков эксплуатации, например Elevation of Privilege - Windows Kernel (CVE-2022-37956, CVE-2022-37957, CVE-2022-37964)

Security Feature Bypass - Microsoft Edge (CVE-2022-2856, CVE-2022-3075). Уязвимости Edge это по факту уязвимости Chromium. Обратная сторона использования одного и того же движка. Уязвимости Chrome аффектят также Edge, Opera, Brave, Vivaldi и прочее.

3. RCE от посланного IP пакета 😱

Remote Code Execution - Windows TCP/IP (CVE-2022-34718). "An unauthorized attacker can use it to execute arbitrary code on the attacked Windows computer with the IPSec service enabled by sending a specially crafted IPv6 packet to it. This vulnerability can only be exploited against systems with Internet Protocol Security (IPsec) enabled." IPsec и IPv6 зло, лол. 🙂 Но если серьезно, то скверно, что такое вообще бывает.

И это ещё не все, есть ещё Remote Code Execution - Windows Internet Key Exchange (IKE) Protocol Extensions (CVE-2022-34721, CVE-2022-34722). "An unauthenticated attacker could send a specially crafted IP packet to a target machine that is running Windows and has IPSec enabled, which could enable a remote code execution exploitation."

4. Denial of Service - Windows DNS Server (CVE-2022-34724). С одной стороны только DoS, с другой стороны работу компании можно неплохо так парализовать.

5. Memory Corruption - ARM processor (CVE-2022-23960). Фикс для очередного Spectre, на этот раз Spectre-BHB. Про практическую эксплуатабельность видимо говорить не приходится, так же как и в случае остальных уязвимостей типа Spectre, но практически все обзорщики на эту уязвимость внимание обратили.

Полный отчет Vulristics: https://avleonov.com/vulristics_reports/ms_patch_tuesday_september2022_report_with_comments_ext_img.html

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday. Кратко и на русском было здесь.